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摘 要 : 现 有 通过 地 址 跳 变 对 IPv6 节点 进行 防护 的 技术 依赖 时 间 同 步 或 事件 同步 ， 利 用 IPv6 的 良好 移动 特性 和 多 转 
交 地 址 注册 机 制 ， 提 出 一 种 基于 虚拟 移动 的 IPv6 主动 防御 方案 。 通 过 为 IPv6 节点 分 配 动态 变化 的 转交 地 址 ， 使 其 呈 
现 出 在 网 络 内 不 断 移动 的 特征 ， 降 低 攻 击 者 对 其 实施 攻击 概率 的 同时 ， 能 够 保证 通信 的 持续 。 理 论 分 析 和 实验 测试 表 
明 ， 方 案 具 有 良好 的 抗 攻击 能 力 且 较 小 的 系统 开销 。 
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Proactive defense scheme of IPv6 based on virtual mobile 
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Abstract: The existing technologies for protecting IPv6 nodes by address hopping rely on time synchronization or event 
synchronization, utilizing the good mobility feature of IPv6 and multiple care-of address registration mechanisms, this paper 
proposed a proactive defense Scheme of IPv6 based on virtual mobile. By assigning a dynamically changing care-of address to 
an IPv6 node, the IPv6 node presented the continuously moving feature in the network, reduced the attack probability of an 
attacker, and ensured the continuity of communications. Theoretical analysis and experimental tests show that the scheme has 
good anti-attack ability and less System overhead. 
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美国 提出 一 种 “改变 游戏 规则 ”的 积极 主动 的 网 络 防 御 思 想 ， 
即 移动 目标 防御 (moving target defense，MTD ) (1, 通过 动态 、 

2016 年 11 月 7 日 ,互联 网 架构 委员 会 (Intermnet Architecture 持续 的 变化 以 显著 增加 攻击 者 的 攻击 难度 , 降低 其 攻击 成 功率 。 
Board，IAB ) 发 表 声明 称 ， 建 议 互联 网 工程 任务 组 (Internet ”利用 这 一 防御 思想 ， 研 究 人 员 已 经 在 网 络 层 设计 并 开发 出 了 多 
Engineering Task Force, IETF ) 等 标准 开发 组 织 及 合作 伙伴 放弃 种 具体 的 防御 机 制 。 动 态 网 络 地 址 转换 (dynamic network 
在 新 协议 标准 中 兼容 IPvV4， 用 行动 支持 并 实施 了 Pv6 在 全 球 范 ”address translation, DYNATI)G 是 一 种 在 数据 包 被 路 由 转发 之 前 
所 内 的 部 署 申 。2017 年 11 月 26 日 ， 中 共 中 央 办 公 厅 、 国 务 院 ”动态 变化 其 地 址 与 端口 信息 来 抵抗 嗅 探 攻 击 的 技术 ， 该 技术 依 
办 公 厅 印发 了 《推进 互联 网 协议 第 六 版 “IPv6)〉 规模 部 署 行动 赖 集 中 网 关 的 安全 性 ， 存 在 通信 失败 的 可 能 ;网 络 地 址 随机 化 
计划 》 了 外 (简称 “计划 ”),“ 计 划 ” 要 求 不 仅 要 实现 移动 互联 网 (network address space randomization,，NASR) 器 是 一 种 通过 修 
全 面 支持 IPvV6， 还 要 强化 网 络 安全 保障 。 改 网 络 内 动态 主机 配置 协议 (dynamic host configuration protoco 
随 着 IPv6 部 署 的 广泛 深入 , 越 来 越 多 的 网 络 服务 正 逐 步 迁 。 ”DHCP) 服务 器 来 动态 更 改 IP 地 址 变化 频率 来 抵抗 蠕虫 攻击 的 
移 到 IPv6 网 络 ， 包 括 Web 服务 器 、 邮 件 服务 器 、 域 名 服务 器 。 技术 ， 该 技术 部 署 成 本 较 高 ， 且 只 能 实现 局 域 网 (local area 
等 。 由 于 IPv6 拥有 128 位 地 址 空间 , 使 得 每 个 节点 均 能 分 配 一 。 ”network,，LAN) 内 的 地 址 随机 化 ; 端口 跳 变 (porthopping) 是 
个 全 球 可 路 由 单 播 地 址 ， 且 可 保持 永久 不 变 。 因 此 , 在 IPv6 网 种 通过 动态 变化 TCP/UDP 端口 号 来 抵抗 DoS/DDoS 攻击 的 
络 环境 中 ， 提 供 网 络 服务 的 重要 节点 更 易 遭 受 来 自 攻 击 者 的 攻 技术; Lee 等 人 提出 一 种 通过 在 服务 器 和 用 户 之 间 共 享 私 钥 
击 6， 其 中 最 常见 且 难 以 防护 的 攻击 包括 拒绝 服务 (denial of ”进行 TCP/UDP 端口 跳 变 的 技术 ， 该 技术 能 够 有 效 阻止 攻击 者 
service, DoS ) 攻击 、 分 布 式 拒绝 服务 (distributed denial of service， ”对 服务 器 进行 攻击 ， 但 是 其 依赖 严格 时 间 同 步 ， 无 法 适用 于 网 
DDoS ) 攻击 等 。 络 延 时 较 大 的 网 络 中 ;Badishi 等 人 [9 提出 一 种 基于 端口 的 配给 
针对 网 络 的 确定 性 和 静态 性 带 来 的 网 络 易 攻 难 守 等 挑战 ， 信道 机 制 ， 利 用 伪 随 机 函数 使 不 同 信道 在 不 同时 刻 使 用 不 同 的 
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端口 通信 ， 这 一 机 制 的 安全 性 依赖 于 ACK 报 文 ， 若 ACK 报 文 
被 截获 ， 攻 击 者 即 可 对 目标 节点 实施 攻击 ; 石 乐 义 等 人 外 提出 
服务 跳 变 (service hopping〉 和 端 跳 变 (end hopping) 的 概念 ， 
通过 伪 随 机 跳 变 图 来 动态 地 变化 通信 双方 或 一 方 的 IP 地 址 、 端 
、 时 了 、 加 密 算法 、 通 信 协 议 等 信息 ， 以 增加 攻击 难度 与 成 
本 ; Jafarian 等 人 00 提 出 一 种 OF-RHM (OpenFlow random host 
mutation ) 技 术 , 利用 OpenFlow 快速 变换 主机 虚拟 IP, OpenFlow 
实现 虚拟 IP 与 真实 P 的 转换 ， 从 而 增加 攻击 难度 。 由 于 OF- 
RHM 部 署 困 难 ，Al-Shaer 等 人 0 提出 一 种 RHM (random host 


mutation ) 技术 , 利用 低频 变换 和 高 频 变 换 来 给 主机 分 配 虚拟 IP。 


为 提高 变化 机 制 安全 性 ，Jafarian 等 人 [9 提出 一 种 STAM 
(spatio-temporal address mutation ) 机 制 来 实现 动态 变化 主机 与 
IP 地 址 的 绑 定 关 系 , 每 个 主机 对 应 一 个 瞬时 全， 且 每 个 瞬时 IP 
只 能 在 指定 时 间 间 隔 内 与 另 一 特定 主机 通信 。MT6D (moving 
种 在 IPV6 网 络 环境 下 MTD 的 具体 
实现 方法 , 通信 双方 以 EUI-64 接口 标志 符 (interface identifier， 
IID)、 共 享 密 钥 及 系统 时 间 为 参数 ， 经 过 哈 希 计算 后 生成 新 的 
ID， 增 加 了 攻击 成 本 与 复杂 度 ， 刘 慧生 等 人 0 提出 一 种 利用 
IPv6 多 穴 特性 使 主机 地 址 在 多 个 地 址 域内 动态 变化 的 技术 
MHH-PD6， 增 加 了 攻击 者 流量 监听 及 DoS 攻击 的 难度 。 
综 上 所 述 ， 现 有 的 可 有 效 阻止 或 降低 IPv6 节点 遭受 DoS 
攻击 的 技术 (以 MT6D 和 MHH-PD6 为 例 ) 主要 存在 以 下 不 足 
处 : aJMT6D 在 通信 地 址 动态 改变 的 过 程 中 存在 地 址 冲突 的 
可 能 ， 从 而 造成 丢 包 或 会 话 中 断 现象 ，b)MT6D 依赖 严格 时 间 
同步 , 无 法 适应 网 络 延迟 较 大 或 网 络 拥塞 的 网 络 环 境 ; c)MHH- 
PD6 依赖 跳 变 服务 器 的 安全 性 , 跳 变 服务 器 存在 被 DoS 攻击 的 
可 能 ;d)MHH-PD6 需要 所 在 网 络 接 入 多 条 链 路 , 适用 范围 受 限 。 
针对 现 有 研究 技术 的 不 足 之 处 ， 本 文 提出 一 种 基于 虚拟 移 
动 的 Pv6 抗 DoS 攻击 方案 ， 利 用 IPv6 的 良好 移动 特性 支持 ， 
提出 虚拟 移动 思想 , 即 为 受 保护 卫 v6 节点 分 配 动态 变化 的 转交 
地 址 《care-ofaddress，CoA)， 使 攻击 者 无 法 准确 辨识 目标 节点 
是 否 发 生 真实 移动 及 其 位 置 ， 从 而 无 法 对 其 实施 DoS 攻击 。 此 
外 ， 由 于 移动 Pv6 (mobile IPv6，MIPv6) 允许 IPV6 节点 能 够 
在 移动 〈 即 改变 其 CoA) 的 同时 保持 当前 连接 ， 因 此 该 方案 不 
依赖 时 钟 同步 或 事件 同步 机 制 ， 能 够 适应 较 复杂 的 网 络 环境 且 
保持 通信 的 持续 不 断 。 


target IPv6 defense) 03] 是 一 


1 ADVM 方案 


本 文 提 出 的 虚拟 移动 (virtual mobile，VM) 包含 两 方面 含 
义 : 一 是 IPv6 节点 未 发 生 真 实 移动 ， 而 是 利用 IPv6 对 移动 的 
良好 支持 , 使 其 对 外 呈现 出 移动 的 表征 ; 二 是 IPV6 节点 发 生 真 


实 移 动 ， 使 其 对 外 呈现 出 移动 位 置 动态 变化 的 特点 ， 无 法 辨识 
其 移动 的 真 伪 。 接 下 来 , 本 章 将 对 ADVM 方案 的 基本 结构 、 工 


作 流 程 进行 详细 描述 。 
1.1 ADVM 结构 组 成 
定义 1 IPv6 虚拟 移动 节点 (virtual mobile node for IPv6， 


VMN)。 受 ADVM 方案 保护 的 IPv6 节点 。 
定义 2 转交 地 址 集 (setofcare-ofaddresses)。VMN 用 于 
呈现 虚拟 移动 特征 的 地 址 集合 ， 
定义 3 IPv6 虚拟 移动 代理 (virtual mobile agent forIPv6， 
VMA)。 与 VMN 处 于 不 同 子 网 的 IPv6 节点 ， 
A={vma,vmga,,…,Vma,},neZ， 为 VMN 转发 通信 数据 包 。 
定义 4 通信 对 端 (correspondingnode, CN)。 与 VMN 进 
行 通信 的 对 端 节点 ，N ={cni,cn,.…,Cni},l ez。 
ADVM 的 基本 结构 如 图 1 所 示 。 


C={coa,coga,,...,coa,} ,neZ 。 


图 1 ADVM 基本 结构 


ADVM 方案 基本 思想 是 : 在 于 CN 进行 通信 过 程 中 , VMN 
从 集合 A 中 随机 选取 一 个 子 集 
Aviwa = {vma,vmai,i,.…s vmaj},i, jj 之 b 且 i,je 弥 ,其 对 应 的 转交 地 


址 子 集 为 Cssw = {CoQ;,coai%1,.…,Coa;},i,j 之 1, 晶 i,jeZw, VMN 将 
通 信 对 端 分 为 若 于 个 组 


m—k+l VY 一 M+1 
= = 
G = | Cn, chy. CH, .| Ch, Ch ,1 Ch, 


| eN ， 每 个 组 中 


的 成 员 与 数量 均 是 随机 的 ，VMN 将 转交 地 址 子 集 按 照 RFC 
$64805 中 定义 的 多 转交 地 址 注册 (multiple care-of addresses 
registration ) 过 程 随 机 通知 给 通信 对 端 组 ， 从 而 达到 有 效 保护 
VMN 免 受 DoS 攻击 的 目的 。 
1.2 ADVM 基本 流程 

ADVM 方案 的 基本 流程 如 图 2 所 示 。 其 中 Alice 为 IPv6 虚 
拟 移动 节点 VMN,， Bob={Bob|1<i<n},ne 纪 为 通信 对 端 集合 ， 
A={4,1< jt,meZZ 为 IPv6 虚拟 移动 代理 集合 VMA。. 接 下 
es, 


1 ® 
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图 2 ADVM 基本 流程 
1)Alice 向 VMA 发 起 虚拟 移动 注册 


首先 ， 虚 拟 移动 节点 Alice 从 VMA 的 集合 4 及 其 转交 地 
th ta ede Fs 子 集 构成 集合 
)| 


5S={(4,Coh)|AeA,CoA eC,1<izn}j,ne%, 并 向 集合 中 的 每 个 VMA 
发 送 身份 注册 报 文 Regww , 虚拟 移动 代理 验证 Alice 的 身份 后 ， 
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向 其 El 复 身份 确认 报 文 Ackya :于 此 ， 集合 S$ 中 的 每 个 VMA 将 
作为 Alice 的 通信 中 转 节点 , 负责 Alice 与 通信 对 端 之 间 通 信 数 


据 的 转发 ， 该 注册 过 程 经 过 随机 变化 的 时 间 间 隔 z* 就 会 执行 一 
次 ， 使 Alice 呈现 出 在 IPv6 子 网 间 不 断 移 动 的 假象 ， 增 加 攻击 


成 本 及 复杂 度 。 该 过 程 可 表示 为 : 
a) Alice: select(S$) 。 
b) Alice 一 S:Regww(CEo4wco TDaice) 。 


3 
23 
i 


vi 


个 子 集 , 并 将 这 些 集合 中 的 转交 地 址 以 绑 定 更 新 (bindingupdate， 


BU 
标 ; 


c) S—>Alice: Acka(CoAs,1D,) 。 

2) 多 转交 地 址 注册 

在 该 过 程 中 , Alice 先 从 通信 对 端的 集合 Bob 中 选取 z 个 非 
真子 集 Q,Q,.…,Q. ， Bob=Q UO,U...UQ. ， 
六 CO = 名， 然后 Alice 从 集合 $ 的 非 空子 集中 选取 z 


) 报 文 的 方式 通知 所 有 通信 对 端 ， 这 些 BU 报 文 增加 了 绑 定 
志 符 选项 (binding identification number，BID ); 之 后 每 个 集 


合 中 的 通信 对 端 回 复 绑 定 确认 (binding acknowlegement，BA) 


消 


息 。 该 过 程 可 表示 为 : 


a) Alice: select(O,O,,..., CO) o 
b) Alice ->O:BUCBID,Eo4， ,Co4) 。 


TT c) 0 — Alice: BA(HoA,,,CoA,) 。 

ID 3) 返回 可 路 由 过 程 

< RFC 6275 中 描述 了 路 由 优化 过 程 , 即 移动 节点 和 通信 对 端 
=- 之 间 可 以 直接 发 送 通信 数据 。 返回 可 路 由 过 程 (return routability 
EN procedure，RRP) 是 为 验证 移动 节点 既 可 以 通过 它 的 本 地 地 址 
OO 到 达 ， 也 可 以 通过 它 的 转交 地 址 到 达 ， 从 而 防止 绑 定 更 新 欺骗 
人 ”和 DoS 攻击 。 在 ADVM 方案 中 ，RRP 过 程 如 图 3 所 示 。 

© @Kbm token 1,token2 

Co \ verify,BA 一 一 \ 

下 一 | Alice | (DBu(Kbm) >» Bob 

CN 1 5 

i (end a 一 

>< ee 

EC 

全 图 3 ADVM 中 RRP 的 处 理 

r= a) Alice 向 VMA 发 送 RRP 启动 信号 ， 随 后 VMA 向 
© Bob 发 送 HoTI (home test init) 和 CoTI (care-of test Init) 


消息 。 其 中 ，HoTI 先 经 过 隧道 发 送 给 HA, 然后 由 HA 发 送 
给 Bob，CoTI 则 由 VMA 直接 发 送 给 Bob。 该 过 程 可 表示 
为 : 

(a) Alice —>S: start 

(b)S 一 HA 一 Bob:Eo77 ，S 一 Bob:Co77 

b) Bob 收 到 HoTI 和 CoTI 消息 后 ， 生 成 本 地 地 址 令 牌 
tokenl ,转交 地 址 令 牌 token2 ,然后 Bob 将 tokenl 置 于 HoT 
消息 中 经 由 HA 发 送 给 VMA, 将 token2 置 于 CoT 消息 中 直 
接 发 送 给 VMA。 该 过 程 可 表示 为 : 

(c) Bob : generate(tokenl, token2) 

(d) Bob 一 HA 一 S: HoT(token!l) 

， Bob 一 S$:Co7 (ioke12) 

c)VMA 收 到 后 将 tokenl 和 token2 发 给 Alice, 随后 Alice 
生成 一 个 Kbm 并 发 给 VMA, VMA 向 Bob 发 送 由 Kbm 加密 
的 绑 定 更 新 消息 , Bob 收 到 该 消息 后 对 Kbm 进行 认证 。 如 果 
认证 通过 , 则 根据 BU 消息 更 新 绑 定 缓存 并 回复 绑 定 确认 消 
息 ; 否则 ， 不 做 任何 操作 。 该 过 程 可 表示 为 : 

(e) 5S > Alice: packet(tokenl, token2, ID,) 。 

(f) Alice : generate( Kbm, tokenl, token2) 。 

(g) Alice —>S: packet( Kbm, ID.,) 


[e] 


缓存 中 随机 一 条 表 项 ， 
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孔 亚洲 ， 等 : 
(h)S > Bob: BU,,, 。 
(i) Bob : Verify( Kbm), if true, 
update and BA,else,do nothing 。 
Q)S— Alice:end 。 
经 过 上 述 过 程 ， 即 使 所 在 网 络 环境 需要 执行 返回 可 路 由 过 
ADVM 依然 可 以 实现 对 VMN 的 有 效 防护 。 
个 通信 传输 过 程 
通信 对 端的 绑 定 缓存 (Binding Cache) 结构 如 图 4 所 示 ， 


HoA 


CoA | BID 


图 4 绑 定 缓存 结构 


当 Bob 与 Alice 进行 通信 时 ， 首 先 ， 按 照 BID 的 值 从 绑 定 
与 表 项 对 应 的 CoA 进行 通信 。 在 通信 过 


程 中 采用 “ 先 选取 ， 后 删除 ”策略 ， 即 通信 时 Bob 先 选取 下 一 
刻 将 使 用 的 CoA, 当 通 信 切 换 到 新 的 CoA 之 后 , 再 将 之 前 的 组 


存 表 项 删除 。VMA 收 到 消息 后 , 对 数据 包 进 行 排序 操作 后 , 将 


这 些 数 据 包 转 发 给 Alice。 然 后 ，Alice 根据 数据 包 中 的 标记 进 
行 重 引 


， 至 此 ，Alice 的 数据 接收 过 程 结束 。 之 后 ，Alice 将 回 


复数 据 包 按 此 逆 过 程 进行 传输 , 直至 Bob 完成 接收 过 程 , 至 此 ， 


整个 通信 传输 过 程 结 束 。 


1.3 


虚拟 位 置 漂移 算法 
虚拟 位 置 漂 移 算法 (virtual location driftalgorithm, VLDA) 


是 对 虚拟 移动 代理 进行 随机 选取 、 对 通信 对 端 进行 随机 分 组 的 
过 程 ， 遇 到 以 下 三 种 情况 将 会 执行 该 算法 : a) 每 隔 时 间 间 隔 = 


就 会 执行 一 次 ;，b) 


虚拟 移动 代理 有 更 新 或 删除 变化 ，c) 通信 


对 端的 集合 有 变化 。 


算法 1 VLDA 算法 


Algorithm VLDA 


输入 : VMA，CN. 

输出 : S，Bob. 

1. Start 

2. S=Select (VMA) ; // 从 VMA 中 选取 一 个 非 空子 集 
3. CNs=Calcu (CN) ; // 将 CN 分 成 若干 个 非 空 真子 集 
4.// 从 CN 中 随机 选取 若干 个 真子 集 且 满 足以 下 条 件 


CN= Bob, J Bob,, 当 i# jN,Bob, Bobi = 人 
5. Bob=SelectFrom(CNn) ; 
6. End 


该 算法 为 ADVM 方案 提供 了 两 方面 的 安全 性 ， 一 是 虚拟 


移动 代理 集合 的 随机 性 ， 使 攻击 者 对 虚拟 移动 节点 的 追踪 更 加 


困难 ， 提 高 了 攻击 难度 ; 


二 是 通信 对 端的 分 组 随机 性 ， 使 攻击 


者 对 通信 流量 的 分 析 更 加 复杂 ， 提 高 了 攻击 成 本 。 


2 


2.1 


ADVM 方案 分 析 


ADVM 安全 性 分 析 


本 节 主 要 从 以 下 两 个 方 


面 对 ADVM 的 安全 性 进行 分 析 :a) 


攻击 者 扫描 速率 与 ADVM 安全 性 之 间 的 关系 ; b) 攻击 者 数量 


与 ADVM 安全 性 之 间 的 关系 。 


1) 攻击 者 扫描 速率 与 ADVM 安全 性 之 间 的 关系 
假设 防御 者 在 t 时 刻 选用 的 VMA 的 数量 一 共有 7 个 , X(?) 


是 攻击 者 在 1 时 刻 无 法 确定 的 VMA 的 数量 ， 假 设 攻击 者 对 


VMA 的 扫 


描 是 独立 泊 松 过 程 , 攻击 者 所 用 扫描 时 


司 为 wo,， 那 
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么 攻击 者 对 每 个 VMA 的 平均 扫描 速率 为 Jr ，， 每 个 VMA 


的 变化 时 间 间隔 是 独立 的 , 且 服从 指数 分 布 (平均 Tios = 花 )， 


假设 防御 者 选取 VMA 的 时 间 是 随机 变化 的 ， 那 么 上 可 建 模 为 
一 个 连续 时 间 的 齐 次 马尔 科 夫 链 ， 其 转移 到 状态 s 的 转移 速率 
矩阵 可 表示 为 


-dgoo qo Gon 
Q= dio nn di ,其 中 
Go Gl 2 gy 


=6 ,1<s<7 gq,=6,0<s<7 -1 
攻击 者 的 平均 扫描 速率 6= 扒 ，， 代 表 攻击 者 锁定 VMA 
的 速度 。 
X 的 稳 态 分 布 满足 平衡 方程 rQ = 0 ， 其 中 转移 速率 乔 
阵 Q=[g,,] 。 朋 Gi) = -Zn qi 。 令 p =- -上 肛 


Tm 
二 9 < 站 YEZ 早 得 
A 求解 平衡 方程 


XY 的 期 望 记 为 


(总 
p+1 
上 可 得 : 
结论 1 Ex 与 89 成 反比 ,即使 攻击 者 采用 较 高 的 扫描 速率 ， 
也 只 能 获取 较 少 的 VMA 的 信息 ， 增 加 了 攻击 者 的 攻击 难度 和 
复杂 度 。 
2) 攻击 者 数量 与 ADVM 安全 性 之 间 的 关系 
首先 ， 给 出 涉及 到 的 符号 及 其 说 明 ， 如 表 1 所 示 。 
表 1 符号 说 明 


符号 含义 

N 所 有 通信 对 端的 数目 

NV, 所 有 假冒 通信 对 端的 攻击 者 数目 

N, 所 有 合法 通信 对 端 数目 

四 跳 变 时 间 间 隔 

Now 跳 变 间隔 内 VMA 数目 

Na 使 用 注册 地 址 CoA4, 的 通信 对 端 数目 
Pcw 注册 地 址 Co4', 不 被 扫描 发 现 的 概率 
Ne 与 攻击 者 处 于 同 组 的 通信 对 端 数目 
Nu 与 攻击 者 不 处 于 同 组 的 通信 对 端 数目 
pb. 通信 对 端 通信 成 功 的 概率 


表 可 知 ，N = N, +N, ， 与 攻击 者 不 处 于 同 组 的 通信 对 端 
的 数目 为 


Nocoa 


Na = 2 Pow No, 


孔 亚 洲 ， 等 : 基 


ChinaXiv 合 作 期 刊 
于 虚拟 移动 的 IPv6 主动 防御 方案 


假设 通信 对 端的 数目 按照 CoA 的 数目 均匀 分 布 ， 那 么 
N 
Na = 六 >1， 使 用 注册 地 址 Coh 的 通信 对 端 不 被 锁定 的 


N. 


Cx 


N 
[是 的 大 小 为 


N-—N 
其 中 : | "jw- 


的 真子 集 的 个 数 。 因 此 ， 


假设 通信 对 端 均匀 分 布 于 各 个 真子 集 ， 因 此 ， 


N-N 
BN) -Nx (Se 


那么 ， 通 信 对 端 通过 


N/CoA: 
=Nx [ 四 各 ] 
N 


N/Co4' 
Pe= Xl 一 各] 
NN 


eat 


寺 论 2 ”攻击 者 数量 的 增加 并 不 能 显著 降低 通信 对 端的 通 


N。 中 大 小 为 Au 的 真子 集 的 个 数 ; 


根据 斯 特 林 公式 ，n [时] 357， 假设 N < 入 ， 屠 和 
基 


VMA 成 功 进行 数据 传输 的 概率 为 


人 增加 了 攻击 复杂 度 ， 提 升 了 网 络 安 全 性 。 


2.2 ADVM 性 能 分 析 


a 


1.2 节 可 知 ， 与 了 


信 性 能 的 影响 进行 分 析 。 


据 转 发 有 可 能 带 来 一 定 的 时 延 。 接 | 


E 常 了 Pv6 通信 相 比 ，VMA 的 


1) 正常 情况 下 ，]IP 


首先 , 对 正常 情况 下 了 Pv6 节点 间 的 通信 时 延 进行 分 析 。 当 
通信 发 起 者 为 固定 节点 时 ， 通 信 时 延 主 要 是 路 径 传输 
为 Yom ， 当 通信 发 起 者 为 移动 节点 时 ， 通 信 时 延 主要 

点 完成 链 路 切换 的 时 延 eu ， 当 移动 节点 移动 到 
链 路 时 ， 要 执行 地 址 自动 配置 ， 此 阶段 所 耗 时 间 记 为 


v6 通信 时 延 


选取 和 数 


下 来 ， 本 节 将 对 ADVM 对 通 


时 延 ， 记 


包括 移动 


后 ， 移 动 节点 要 与 通信 对 端 完成 路 由 优化 过 程 ， 所 | 


新 的 外 地 
Toonfg ; pa 


时 间 记 为 


la ; 最 后 , 通信 对 端 与 移动 节点 进行 通信 时 的 路 径 传 输 时 延 


为 fim。 因此 ， 正 常情 况 下 ，IPv6 通信 时 延 可 记 为 


201804.02145v1 


chinaXiv 


chingxjv 合 作 期 刊 


录用 稿 孔 亚洲 ， 等 : 基于 庶 拟 移动 的 IPV6 主动 防御 方案 
Tyan 3 ”实验 测试 与 分 析 
~, Es je = 7 a | 加 
(发 起 者 为 固定 节点 ) 
| 利用 移动 Pv6 的 开源 实现 UMIP， 在 Ubuntu 17.04 操作 系 
(发 起 者 为 移动 节 具 ) 统 上 实现 了 ADVM 方案 , 通过 接 入 CERNET2 搭建 了 如 图 5 所 
示 的 验证 环境 。 


2) ADVM 通信 时 延 
在 ADVM 方案 中 ， 若 VMN 是 固定 节点 ， 那 么 ADVM 的 本 上 
通信 时 延 主 要 包括 VMN 每 阳 时 间 7 执行 一 次 算法 的 时 间 ， 记 
为 Te 。ADVM 向 选取 的 VMA 发 起 注册 的 时 间 T。，VMA 返 
可 确认 信息 的 时 间 7 。VMN 向 通信 对 端 发 起 多 转交 地 址 注册 
的 过 程 中 ， 所 需 时 间 包 括 绑 定 更 新 时 间 和 绑 定 确 认 时 间 ， 分 别 
记 为 Tio 和 Ts 。 路 径 传输 时 延 包 括 通信 对 端 到 VMA 的 时 间 和 
VMA 到 VMN 的 时 间 ， 分 别 记 为 Tswna 和 Tonsww。 若 VMN 
是 移动 节点 ， 除 去 上 述 过 程 的 时 延 外 ， 还 包括 VMN 完成 链 路 
切换 的 时 延 Twuns 和 VMN 移动 到 外 地 链 路 后 ， 完 成 地 址 自动 
配置 所 花费 的 时 延 Ti 。 因 此 , ADVM 方案 的 通信 时 延 可 记 为 


\ Bob2 王 
Xx ~ 个 


< 一 > 虚拟 移动 注册 过 程 。 ”< 一 一 > 多 转交 地 址 注册 过 程 


一 一 一 > 通信 数据 传输 过 程 一 -一 .一 > 攻击 者 攻击 过 程 


局 5 ”实验 测试 拓扑 


了 + 十 7 十 75r 十 
T_4T T 其 中 ，Al 和 As; 为 虚拟 移动 代理 ，Bobl 和 Bob2 为 通信 对 
端 ，Alice 为 虚拟 移动 节点 ，Attacker 为 攻击 者 。 参 数 配置 如 表 
( 当 VMN 为 固定 节点 ) oe 罗 人 PR 
0 Ti 十 7 十 7 +Tsv 于 人 
表 2 参数 配置 
Tsa +Tew wm +Tyya yyMaN a 二 Te 
( 当 VMN 为 移动 节点 ) 节点 IPv6 地 址 操作 系统 
Ai 2001:da8:2017::ad12 Ubuntu 17.04 
二 站 \j| 消 A 
其 中 , 由 于 ADVM 中 涉及 的 绑 定 更 新 与 确认 , 数据 传输 过 As 2001:da8:2018::cd49 Ubuntu 17.04 
程 与 正常 情况 下 的 时 延 并 无 区 别 ， 因 此 ， Bobl 2001:da8:2019::38el Windows 8 
Tima = Tav + Toa ， Bob2 2001:da8:2020::af09 Ubuntu 17.04 
TR, 到 二 Alice 2001:da8:2021::ac22 Ubuntu 17.04 
因此 的 前 1 时 延 可 化 为 Attacker 2001:da8:2022::ff03 Windows 8 
，ADVM 的 通信 时 延 可 简化 闪 一 一 
中 3.1 ADVM 开销 测试 
Ta tTog tT 为 测试 ADVM 方案 的 开销 ， 主 要 从 以 下 两 种 场景 对 其 开 
Pe 销 进行 测试 : a) Alice 为 固定 节点 ; b) Alice 为 移动 节点 。 
( 当 VMN 为 固定 节点 ) 针对 第 一 种 场景 ， 依 据 虚 拟 位 置 漂 移 算法 ，Alice 选取 Al 
ADVM 一 T+T, AT 和 A2 的 了 了 v6 地 址 为 CoA， 分 别 向 Bobl 和 Bob2 进行 多 转 
于 150 + Tover 本 Tnfg 交 地 址 注册 ， 通过 在 人 0 和 之 间 人 输 不 同 大 小 
的 文件 来 测试 ADVM 的 开销 ， 其 测试 结果 如 图 6 所 示 。 


( 当 VMN 为 移动 节点 ) 


因此 ， 与 正常 通信 相 比 ，ADVM 方案 的 额外 开销 可 记 为 


18 上 [ >— normal 
T+T tT tT tT, sad 


alg reg ack optimal 生 path 16 


_ | 〈 当 VMN 为 固定 节点 ) WE 
A yy 


alg reg ack path 


传输 时 延 (ms) 
己 


( 当 VMN 为 移动 节点 ) 
此 可 知 ， 当 VMN 为 固定 节点 时 ， 即 VMN 并 未 发 生 真 | eo 
实 移动 时 ， 为 虚拟 其 移动 的 情景 ， 额 外 开销 主要 是 执行 算法 的 | 
开销 ， 进 行 虚拟 注册 的 时 间 开 销 及 数据 传输 开销 ， 当 VMN 为 i 
移动 节点 时 ， 即 VMN 发 生 真实 移动 ， 但 虚拟 其 移动 至 其 他 子 0 
网 的 情景 ， 人 额外 开销 主要 是 执行 算法 的 开销 ， 进 行 虚拟 注册 的 图 6 。 Alice 为 固定 节点 时 的 开销 
时 间 开销 及 数据 传输 开销 ， 但 无 需 进行 一 次 路 由 优化 的 时 间 开 


销 。 由 图 6 可 知 ， 与 正常 通信 相 比 ， 传 输 同样 大 小 的 文件 
ADVM 方案 的 开销 并 未 显著 增加 , 且 传 输 过 程 中 未 出 现 数据 包 
乱 序 问题 ，Alice 能 完整 恢复 出 所 传输 的 文件 。 
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针对 第 二 种 场景 ， 令 
2001:da8:2023::/48, 并 按照 场景 一 


销 进 行 测试 ， 其 测试 结果 如 图 7 所 示 。 


Alice 发 生 真 实 移 动 至 子 网 
的 方法 对 ADVM 方案 的 开 


传输 时 延 (ms) 
己 


20|- S 
号 一 normal 
证 二 ADVM | 


SR rm % 


马 广 
E24 


图 7 可 知 ， 


上 上 r 上 
200 300 400 500 


文件 大 小 (B) 


让 上 
600 700 800 


900 1000 


由 7 ”Alice 为 移动 节点 时 的 开销 
当 Alice 发 生 真实 移动 时 ，ADVM 方案 的 开 


销 相 比 第 一 种 场景 有 所 增加 ， 这 是 因为 Alice 执行 了 移动 IPv6 


ADVM 方案 的 额外 ] 


为 验证 


启用 
分 布 | 


图 8 


但 与 正常 通信 相 比 ， 其 
上 可 知 ， 测 试 结 果 与 3.2 节 的 分 析 结 
ii 全 


开销 
3.2 ADVM 抗 流量 分 析 能 
ADVM 的 
截获 Bobl 和 Bob2 发 出 


J 知 ，ADVM 启用 之 前 ， 攻 于 
的 流量 可 分 析出 Alice 与 Bobl 和 Bob2 之 间 保 持 密切 
系 ; ADVM 启用 之 后 ， 
出 的 是 Bobl 和 Bob2 与 Al 和 A> 2 之 


we 


一 致 ， 说 明了 


测试 


攻击 者 Attacker 从 截获 到 的 流量 中 分 析 


5 者 Attacker 从 截获 到 


抗 攻击 能 力 ， 假 设 攻击 者 Attacker 具备 
的 数据 包 的 能 力 , 攻击 者 分 别 对 ADVM 
前 后 ，Bobl 和 Bob2 在 5 min 通信 时 间 内 的 数据 包 的 
青 况 的 统计 分 析 结 果 如 图 8 所 示 。 


址 


医 


通信 的 关 


间 的 通信 关 


关系 较为 密切 , 而 


与 Alice 之 间 的 通信 关系 


妇 2001:da8:2019::38el 
® 2001:da8:2021::ac22 


全 2001:da8:2017::ad12 
贺 2001:da8:2018::cd49 
次 2001:da8:2020::af09 


不 密切 ， 提 高 了 攻击 难度 。 


3.3 抗 DoS 攻击 能 


ADVM 局 


前 后 流 


分 析 医 


测试 


| 和 As 是 与 Bobl 和 Bob2 


通信 的 关键 节 


-十 台 已 


， 右 能 对 凑 


和 Bob2 之 间 


As 是 的 数量 和 节点 都 是 随机 变 
抗 Dos 攻击 能 力 , 在 实验 网 络 中 逐步 增加 虚拟 移动 代理 
进行 相应 测试 ， 其 测试 结果 如 图 9 所 示 。 


实施 DoS 攻击 ,那么 Alice 与 Bobl 
然而 在 实际 网 络 中 ，Al 和 
化 的 ， 为 进一步 测试 ADVM 的 


的 部 署 ， 


ee 
gd 一 


攻击 者 DoS 成 功 概率 (p) 


兴 


孔 亚 洲 ， 


与 一 1 个 攻击 者 


“一 3 个 攻击 者 


忆 一 5 个 攻击 者 


,人 


防御 方案 


由 图 
者 成 功 实施 DoS 攻 
有 显著 增加 DoS 攻 
3.4 对 比 测 试 


9 不 同 个 数 攻 击 


和 5 6 
虚拟 移动 代理 个 数 (个 ) 


者 DoS 攻击 


成 功率 与 VMA 之 间 的 关系 

9 可 知 ， 随 着 网 络 中 虚拟 移动 代理 个 数 的 增加 ， 攻 击 
击 的 概率 越 低 , 但 是 攻击 者 个 数 的 增加 并 没 
击 成 功率 ， 与 3.1 节 的 分 析 结 果 一 致 。 


文献 [16] 中 提出 一 种 基于 伴 动 的 移动 Pv6 位 置 隐私 保护 方 


案 FBLPC, 通 过 位 于 
移动 至 外 地 的 “ 伴 动 ”情形 。 虽 然 该 方案 可 以 保护 移动 节点 的 


与 移动 节点 不 同 链 路 的 节点 配合 ,形成 MN 


位 置 


接 下 来 ， 本 文 


ADVM 方案 和 FBLPC 方案 进行 对 比 测试 。 首 先 ， 
大 小 文件 (分 别 为 1MB、2MB、3 MB、4 MB) 时 系统 
10 所 示 。 
图 10 可 知 ， 传 输 相同 大 小 的 文件 时 ，ADVM 的 


试 结果 如 图 


， 但 是 其 安全 性 取决 于 FRI 


， 存 在 和 


点 失效 问题 。 


将 从 系统 性 能 


比 FBLPC 大 ， 但 仍然 处 于 毫秒 级 。 


和 方案 安全 性 两 个 方面 


1 对 这 
在 传输 相同 
开销 测 


开销 略 


n 
本 
nm 
400 四 


传输 时 延 ms) 


300 
200 
下 | 
0 


FLPC- 固 定 
FBLPC- 移 动 
ADVM- 固 定 
KRDVRF 移 动 


区 


然后 ， 


分 别 在 实验 F 


10 ADVM 与 FBLPC 方案 开销 对 比 


;2 


络 中 部 署 1、 


发 起 10 次 DoS 攻 


3、5 个 攻击 者 ， 


攻击 者 


Ff， 对 两 种 方案 的 抗 DoS 攻击 能 力 进行 了 对 


开销 ， 换 来 了 更 好 


比 测试 ， 其 测试 结果 如 图 11 所 示 。 
攻击 者 数量 (个 》 
妈 11 ADVM 与 FBLPC 抗 DoS 攻击 能 力 对 比 
图 11 可 知 ，ADVM 比 FBLPC 方案 的 抗 Dog 攻击 能 
a 综合 来 看 ，ADVM 方案 以 较 小 的 额外 
的 网 络 防 护 能 
4 ”结束 语 
利用 IPv6 对 移动 特性 的 良好 支持 与 多 转交 地 址 注册 机 制 ， 
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IV 


chinaX 


录用 稿 


护 


本 文 提出 一 种 基于 虚拟 移动 的 IPv6 主动 防御 方案 , 通过 


为 受 保 
IPv6 下 使 攻击 者 无 法 


准 


确 辩 识 目 标 节 点 是 否 发 生 真实 移动 及 其 位 置 ， 从 而 无 法 对 其 


实施 DoS 攻击 等 。 与 已 有 方案 相 比 , ADVM 方案 既 能 保证 主动 


防 


护 能 
之 处 在 于 : 


对 


御 过 程 中 的 通信 持续 不 间断 ， 又 能 以 较 小 的 系统 开销 换取 防 
力 的 较 大 提升 。 与 移动 IPv6 相 比 ， 移 动 IPv4 的 主要 不 同 
a) 移 动 节 点 可 以 直接 向 通信 对 端 发 送 数 据 ， 而 通信 
端 必须 经 过 家 乡 代理 向 移动 节点 发 送 数据 ; b) 移 动 IPv4 中 没 


7 


有 
据 
移 
手 
因 


返回 路 由 可 达 过 程 ;，c)IPv4 中 需要 使 用 IP-in-IP 隧道 进行 数 
传输 。 由 于 IPv6 与 IPv4 将 长 期 共存 ， 虽 然 移动 IPv4 有 别 于 
动 Pv6 的 不 同 之 处 会 增加 系统 开销 , 部 分 模块 功能 无 法 应 用 
移动 IPv4 中 ,但 是 虚拟 移动 思想 仍然 适用 于 卫 v4 网 络 环境 。 
此 ， 本 文 下 一 步 的 主要 工作 是 将 该 方案 的 各 个 功能 模块 进行 


t 


ST 


Ey 


的 


化 ， 使 虚拟 移动 方案 在 IPv6/IPv4 共存 环境 中 能 够 选择 最 
虚拟 移动 策略 ， 从 而 以 较 小 的 系统 开销 实现 对 共存 环境 


标 节 点 的 有 效 防护 。 
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